  |
はてなキーワード: Pentium IIIとは
今年冬以降に発売されるandroid端末のメディアプレイヤーはHTTPヘッダのUser-Agentおよび拡張ヘッダにIMEI番号が含まれるということが分かり、騒動となった。
カレログ、applogに続きNTTドコモが参戦? - http://togetter.com/li/202490
NTT docomo IMEI垂れ流し問題 http://togetter.com/li/202536
http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html
(魚拓)http://megalodon.jp/2011-1019-1834-56/www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html
こう記述されている。
Android端末の一部機種では、音楽・動画コンテンツを再生するためのメディアプレイヤーをドコモがプリインストールします。
メディアプレイヤーがプリインストールされる機種は2011年度下期モデル以降の主なAndroid端末となります。
ユーザエージェント
メディアプレイヤーがHTTP通信を行う際のUser-Agentヘッダは以下となります。
User-Agent:<SP>DOCOMO/2.0<SP>[AAA](MP;[BBB];Android;[CCC];[DDD]);imei:[xxxxxxxxxxxxxxx];networkoperator:[yyyzz]<CR><LF>
<SP>:半角スペース
[]以外は固定値
AAA:機種名
xxxxxxxxxxxxxxx[15桁]:IMEI
yyy[3桁]:Mobile Country Code
HTTP通信時の拡張ヘッダ付加情報
メディアプレイヤーがHTTP通信を行う際は、以下の拡張ヘッダが付与されます。
x-dcmstore-imei:<SP>xxxxxxxxxxxxxxx<CR><LF>
<SP>:半角スペース
xxxxxxxxxxxxxxx[15桁]:IMEI
ケータイ用語の基礎知識http://k-tai.impress.co.jp/cda/article/keyword/43518.html
によれば、
とある。
端末に固有の番号であるという認識でよいだろう。パソコンで言うMACアドレスのようなものだ。
重複する部分もあるが、いくつかの問題が含まれているように思える。
twitterで見られた反応をいくつか整理してみた。
これが最も大きい問題。twitterでIMEIってつぶやいている人の大半はこれを問題視している。
IMEI番号をそのまま送信している。
すなわち、コンテンツプロバイダ(CP)Aにも、CP-Bにも同じ番号が送信されている。
CP-AとCP-BでIMEI番号を突き合せて、収集した情報をリンクさせることができてしまう。
IMEI番号は端末に紐付けられている。
したがって端末を買い替えない限り番号は変わらない。
これが問題。
10年以上前から同じことが繰り返されているため、空間的時間的に広い共通IDを使うことの「何が問題か」知りたいなら過去の事例を参照するとよい。
等
高木浩光氏による行動トラッキングの歴史と境界線についての備忘録 http://togetter.com/li/197732
インターネットにおけるIDとトレーサビリティ(2003年)高木浩光氏 http://www.nic.ad.jp/ja/materials/iw/2003/main/ipmeeting/panel-takagi.pdf
Tracking Cookie - Symantec http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-080217-3524-99
まだIMEI送信機能付きandroid端末が発売されていないので、どういう実装か不明のため、これは想像上の懸念だ。
このIMEI番号送信機能は、おそらくDRMに利用することが目的の一つだろう。
特定の機種でのみ購入した音楽が再生できる機能が組み込まれている可能性がある。
その場合、機種変更をするとIMEI番号が変わるために購入したコンテンツを利用できなくなる可能性がある。
あるいは一人で二台以上の端末を所有する場合、どちらか一方の端末でしかコンテンツが利用できない可能性もある。
実際、iPhoneにおいて似た事例が発生していた。認証にUDID(端末固有ID)を用いていたアプリが機種変更ののちに使えなくなる事例があった。
また、それまで利用していた端末をオークション等で販売する可能性もある。
その場合、端末の新しい所有者が、古い所有者の購入したコンテンツを利用できてしまう可能性もある。
ただしこれらは想像上の懸念だ。
UserAgentまたは拡張ヘッダに記述されたIMEI番号をもとに認証を行うサイトの出現が懸念される。
参考:かんたんログインの事例 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html
そもそもIMEI番号の取得はかんたんだ。
友達が不用意にその辺に放置した端末で「*#06#」と入力すれば取得できてしまう。
送信される番号はどのサイトに対しても共通なので、他のサイトで使うことができる。
そしてなりすましも容易だ。
とか。
ぼくよくわかんない><
プライバシに関する専門家でもないので、補足訂正おねがいしまーす。
あと、この問題を扱うに当たって、何を「個人情報」だとするのかとらえ方が人によって違うことに注意したほうが余計な労力を使わなくて済む、と思いまーす。
長くて……読む気にならん。
それはどうかと思うよ。長いのは丁寧に書いているからだし、これまでの経緯をまとめているからだし、複雑な問題だし、そういう単純化が問題を複雑にしているし。
とかいいつつ、単純化しちゃう。
立法による強いネット規制をかわすため、悪質なIDをアク禁できるようにすることは、たとえプライバシー上の問題が生ずるとしても、やむを得ない選択だった。
IDを使用してサイト閲覧履歴を分析した広告が始まった。ヤミ金融業者や、悪質リフォーム業者、架空請求詐欺団なども、カモIDリストを活用するだろう。注意が必要である。
この調子で進むと、「PCもケータイ同様にIDの送信を義務づける」という法案が浮上するかもしれない。
RFC 3041、DoubleClick社の集団訴訟、WMPスーパーcookie脆弱性、Intel PSN不買運動など、ID送信の何が問題か、いつでもすぐに30秒で説明できるよう、構えておかないと、日本だけインターネットの世界を変えられてしまうかもしれない。
私たちは、ちゃんとくい止めることができるだろうか。
au以外は、公式サイト以外には送信されない様に対策を講じていた。
それが、ナンバーポータビリティの延長として、IDもポータブルにする(携帯電話会社を変更しても、IDがそのまま使えるようにする)ということを総務省が提言し、その時点では、IDの統一化は長期的な話であり、それまでに公式サイト以外には送信されない様に対策をしてもらえばいいと思っていた。
それが、突如、NTTドコモがIDを全サイトに送信すると決定した。
イー・モバイル「EMnet」もIDを送信するようになっていた。どうやら、IDの全サイトへの送信というのが、「日本のケータイWeb」の「標準仕様」となったようだ。
なぜこのような展開になったのか。強制されそうな未成年者向けの携帯フィルタリングの対象から明示的に外してもらえるように、「健全コミュニティサイト」というものを認定して、監視制度などを判断するISOやプライバシーマークと似た仕組み、悪質ユーザーのブラックリストの導入などの計画のためだ。
青少年に限って、匿名性のないコミュニティサイトにしかアクセスできないようにするというのは、良い落しどころではないかと思う。
最近になってIDの送信を始めた各事業者は変更するハードルを高くしている。
国会議員らによって性急にもたらされた極めて強い青少年ネット規制をかわすため、悪質ユーザを排斥するために今すぐにでも実現できる、IDを全サイトに送信することは、はたとえプライバシー上の問題が生ずるとしても、やむを得ない選択だった。
NTTドコモでは広告各社がサイト閲覧履歴を分析し利用者の特性に応じた広告提供を始めた。ヤミ金融業者や、悪質リフォーム業者、架空請求詐欺団なども、弱者を求めてカモリストを欲しがっており、そうした業者にも活用されるだろう。
この調子で進むと、最悪のシナリオが訪れるおそれがある。国会で審議された青少年ネット規制法案では、パソコンメーカーには、フィルタリングソフトの組み込みを義務づけていた。この調子で、何年か後には、「PCもケータイWeb同様にIDの送信を義務づける」という法案が浮上するかもしれない。
「PCもケータイ同様に!」という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できるよう、構えておかないといけない。
「銀行の口座だって名寄せされているんですよ。複数の口座を持っていても住所氏名で名寄せして1人の情報として役所に報告しているんです。」重要なのは、IDがどのように使われ得るかの個別の検討であって、IDが付くことではない。WebのID送信の話をしているのに、銀行口座の名寄せの話など何の関係もない。
「IPv6だって、MACアドレスを含むIPアドレスが一人一人に付き、アクセス先に通知されるようになるんです」1999年に批判が巻き起こり、RFC 3041という解決策が作られて、そうはなっていない。
「cookieと同じでしょ」その認識も技術的に明らかな誤りである。DoubleClick社の集団訴訟、WMPスーパーcookie脆弱性。
アーキテクチャ設計を今のうちにやっておかないと、問題が顕在化してからでは遅い。青少年ネット規制の機運が再び性急に浮上し、「これから設計して構築します」などという意見が通らない情勢になってしまうかもしれない。
90年代末にインターネットを舞台に言われていたような構想が、再び語られている。Intel社がPentium IIIにプロセッサシリアル番号(PSN)を搭載して「電子商取引に活用してください」と提案したのが、消費者団体の反対運動を招き、Pentiumの不買運動にまで発展したのは1999年のことだった。日本のケータイWebが今やっていることは、まさにIntelがPCの世界でやろうとして猛反発を食らったことである。
日本の消費者は欧米と違って反対運動をしない。嫌なことは嫌だとちゃんと普段から声をあげるようにしていないと、ある日突然、議員立法で日本だけインターネットの世界を変えられてしまうかもしれない。
私たちは、ちゃんとくい止めることができるだろうか。
具体的なことは http://takagi-hiromitsu.jp/diary/20080710.html#p01 で。
